France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

Le pompon

Vincent Hermann  &  Sébastien Gavois

Publié dans

SécuritéSociété numérique

13/03/2024 6 minutes
66

France Travail dit avoir été victime d’une cyberattaque s’étant déroulée entre le 6 février et le 5 mars. Elle a conduit à « l’exfiltration de données personnelles ». C’est bien l’intégralité de la base qui pourrait avoir été concernée, puisque l’agence évoque « potentiellement » 43 millions de personnes concernées.

« Suite à une cyberattaque dont nous avons été victimes avec Cap emploi, des informations personnelles vous concernant sont susceptibles d’être divulguées. Vos informations bancaires ne sont pas concernées. Nous sommes désolés de cet incident et nous vous invitons à rester vigilants », prévient le site officiel dans un encadré rouge. « Il n’existe donc aucun risque pour l’indemnisation », s’empresse de préciser France Travail dans son communiqué.

« Potentiellement » 43 millions de personnes

Pourraient être concernées toutes les personnes « inscrites au cours des 20 dernières années ainsi que les personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr ». En d’autres termes, c’est l’intégralité de la base qui pourrait avoir été exposée. « C'est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées », ajoute France Travail.

Nom, prénom, numéro de Sécurité sociale, date de naissance, identifiant France Travail, adresses mail et postales et numéros de téléphone ont été exposés et se retrouvent donc dans la nature. Les mots de passe et les coordonnées bancaires ne sont pas concernés.

France Travail dit avoir notifié la CNIL et porte plainte auprès des autorités judiciaires. La section J3 du Parquet de Paris a ouvert une enquête préliminaire. Elle a été confiée à la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Direction de la Police Judiciaire de Paris. Celle-ci a d’ailleurs mis en ligne un formulaire simplifié permettant aux personnes concernées de déposer plainte.

Quels risques ?

Les risques sont malheureusement les mêmes qu’habituellement dans ce genre de cas. Les coordonnées peuvent entrainer des campagnes de phishing plus ou moins précises.

« Cybermalveillance.gouv.fr recommande d’être particulièrement vigilant face à tout appel téléphonique ou message (mail, SMS) qui pourrait utiliser vos données personnelles compromises dans le but de vous rendre crédible une tentative d’escroquerie ou d’hameçonnage ciblée », peut-on lire sur une page dédiée de Cybermalveillance.fr.

À l’AFP, France Travail dit avoir remarqué initialement des « requêtes suspectes » et une « usurpation d'identité de conseillers Cap emploi », souligne Le Figaro. Attention donc à ce deuxième point. Un dispositif téléphonique va être mis en place via la plateforme téléphonique 3949 « dans les prochaines heures ».

Par l’ampleur et le type d’information, cette cyberattaque rappelle malheureusement les récentes – et énormes, avec la moitié des français concernés – fuites chez Viamedis et Almerys, prestataires du tiers payant. Le numéro de Sécurité sociale étant une nouvelle fois concerné, il est recommandé une prudence particulière, car il peut servir de porte d’entrée dans de nombreux services.

Comme nous l’indiquions le mois dernier, il peut permettre la création d’un compte Ameli pour une personne qui ne l’aurait pas déjà. Là aussi, le Parquet a ouvert une enquête et un formulaire pour déposer simplement une plainte a été mis en ligne.

Semaine chargée pour l’État : une attaque DDoS il y a quelques jours

Nous ne sommes que mercredi et l’actualité est déjà bien chargée. En début de semaine, le groupe de pirates Anonymous Sudan faisait parler de lui, suite à une attaque DDoS contre des institutions françaises.

Ce groupe n’est pas nouveau, l’ANSSI en parlait dans son panorama de la cybermenace 2023. L’Agence expliquait que, en août 2023, il avait « menacé la France de représailles en cas d’intervention contre le putsch au Niger, avant de réorienter son ciblage contre des entités israéliennes suite à l’offensive militaire dans la bande de Gaza ». La société spécialisée dans la cybersécurité Sekoia y va aussi de son analyse, précisant qu’il s’agit d’un « sous-groupe des hacktivistes pro-russes Killnet ».

En début de semaine, les pirates revendiquaient ainsi une cyberattaque contre plusieurs services de l’État. Elle était décrite comme d’une « intensité inédite », selon le gouvernement cité par l’AFP. Les autorités ajoutaient que l’impact « a été réduit » et l’accès aux sites « rétabli ». De quoi se vanter d’une victoire ? Oui, mais…

Une « tempête dans un verre d’eau » ?

Si une cyberattaque a bien eu lieu, son intensité n’était visiblement pas si importante et les conséquences plutôt limitées. Pour Le MagIT, il s’agit plutôt d’une « tempête dans un verre d’eau ». Nos confrères rappellent que les cyberattaques de type DDoS sont monnaie courante. « Mais entre contexte géopolitique et politique domestique, si Matignon a choisi de communiquer sur cet incident, c’est que les services du Premier ministre y trouvaient leur intérêt ».

Même son de cloche chez Gabriel Thierry, spécialiste du cybercrime : « Drôle de communication de Matignon qui a dramatisé une grosse mais banale campagne de DDoS sous l'appellation de cyberattaques d’une "intensité inédite" ».

« On notera également que s'attaquer au RIE (Réseau interministériel de l'État) est particulièrement stupide, sauf s'il s'agit uniquement de faire le buzz. En effet, si vous vous attaquez au point le plus protégé de votre adversaire, ne vous étonnez pas de tomber sur un mur », ajoute-t-il. Bref, « beaucoup de bruit pour rien » comme dirait William Shakespeare.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

« Potentiellement » 43 millions de personnes

Quels risques ?

Semaine chargée pour l’État : une attaque DDoS il y a quelques jours

Une « tempête dans un verre d’eau » ?

next n'a pas de brief le week-end

Le Brief ne travaille pas le week-end.
C'est dur, mais c'est comme ça.
Allez donc dans une forêt lointaine,
Éloignez-vous de ce clavier pour une fois !

Fermer

Commentaires (66)


43 millions de comptes dans la nature????

Vraiment des incompétents...
Y'en a vraiment marre de toutes ces fuites via les services de l'État.
Ce n'est pas de l'incompétence, bien au contraire : la casse du service public est une volonté politique affichée, et mise en place depuis des décennies. Elle est effectuée avec un certain brio, par des gens très compétents en la matière.

Avec toujours moins de budget, ce genre de cas sera toujours plus fréquent à l'avenir. Mais à la limite, ce n'est pas tellement les fuites de données qui me paraissent le plus grave dans tout ça 😒

Arkeen

Ce n'est pas de l'incompétence, bien au contraire : la casse du service public est une volonté politique affichée, et mise en place depuis des décennies. Elle est effectuée avec un certain brio, par des gens très compétents en la matière.

Avec toujours moins de budget, ce genre de cas sera toujours plus fréquent à l'avenir. Mais à la limite, ce n'est pas tellement les fuites de données qui me paraissent le plus grave dans tout ça 😒
en l'occurrence, ici, il s'agit vraiment d'incompétence, il n'y a pas de volonté. S'il y avait une réelle volonté de "casser du service public", comment tu expliques qu'il y ait toujours plus de fonctionnaires ? Se pose la question de ce que font tous ces fonctionnaires... oui, là c'est une vraie question.
Sécuriser une base de données, ce n'est pas forcément très compliqué, mais ça nécessite quand-même un minimum de compétences et peut-être d'expérience. Quand on copine avec des grosses boîtes de conseil qui facturent très cher les prestations des juniors sortis d'école payés au lance-pierre, forcément, à un moment, ça se voit...

Chiffres : +5% de fonctionnaires sur les 3 fonctions publiques de 2011 à 2021, dans le même temps la population a augmenté de 4% - chiffres fournis par le service public et par l'INSEE.

anagrys

en l'occurrence, ici, il s'agit vraiment d'incompétence, il n'y a pas de volonté. S'il y avait une réelle volonté de "casser du service public", comment tu expliques qu'il y ait toujours plus de fonctionnaires ? Se pose la question de ce que font tous ces fonctionnaires... oui, là c'est une vraie question.
Sécuriser une base de données, ce n'est pas forcément très compliqué, mais ça nécessite quand-même un minimum de compétences et peut-être d'expérience. Quand on copine avec des grosses boîtes de conseil qui facturent très cher les prestations des juniors sortis d'école payés au lance-pierre, forcément, à un moment, ça se voit...

Chiffres : +5% de fonctionnaires sur les 3 fonctions publiques de 2011 à 2021, dans le même temps la population a augmenté de 4% - chiffres fournis par le service public et par l'INSEE.
comment tu expliques qu'il y ait toujours plus de fonctionnaires

La part de la fonction publique dans l'emploi total a diminué sur la période que tu cite. Comparer le nombre de fonctionnaires à la population totale n'a pas de sens, surtout avec une population vieillissante et un ratio actifs/non-actifs qui diminue.

Mais surtout, la fonction publique ne se limite absolument pas au nombre de fonctionnaires. Tu peux embaucher autant d'infirmières que tu veux, si ton nombre de lits diminue, ça ne sert à rien ...
en l'occurrence, ici, il s'agit vraiment d'incompétence, il n'y a pas de volonté

Le PLFSS (qui englobe d'assurance chômage donc) de 2024 est passé avec un 49.3. Sécuriser une base de données c'est une chose, croire qu'on arrivera à maintenir un bon niveau de sécurité ad vitam eternam avec des budgets en baisse constante, c'est sacrément « bisounours » comme ils disent ...

Arkeen

comment tu expliques qu'il y ait toujours plus de fonctionnaires

La part de la fonction publique dans l'emploi total a diminué sur la période que tu cite. Comparer le nombre de fonctionnaires à la population totale n'a pas de sens, surtout avec une population vieillissante et un ratio actifs/non-actifs qui diminue.

Mais surtout, la fonction publique ne se limite absolument pas au nombre de fonctionnaires. Tu peux embaucher autant d'infirmières que tu veux, si ton nombre de lits diminue, ça ne sert à rien ...
en l'occurrence, ici, il s'agit vraiment d'incompétence, il n'y a pas de volonté

Le PLFSS (qui englobe d'assurance chômage donc) de 2024 est passé avec un 49.3. Sécuriser une base de données c'est une chose, croire qu'on arrivera à maintenir un bon niveau de sécurité ad vitam eternam avec des budgets en baisse constante, c'est sacrément « bisounours » comme ils disent ...
j'ai bien peur que la manière dont le PLFSS est adopté n'a aucun effet sur la façon dont la sécurité informatique sera géré, ce n'est pas parce-que les députés ont discuté pendant des heures de la position de la virgule dans tel ou tel article que, par magie, une administration quelconque va se rendre compte de l'importance de ces sujets.

Tout ça pour dire : tu soulèves un vrai point, il y a d'énormes problèmes d'organisation dans la fonction publique (je t'épargne les comparaisons internationales, la France n'est pas fondamentalement bien placée sur ces points), mais je pense qu'il n'a rien à voir avec le sujet ici :chinois:
Dis-toi que ça aurait pu être pire, ça aurait pu être Bercy. Là, pour le coup, il y a l'intégralité des informations bancaires, des flux de trésorerie des entreprises... et plein d'autres infos croustillantes !

anagrys

Dis-toi que ça aurait pu être pire, ça aurait pu être Bercy. Là, pour le coup, il y a l'intégralité des informations bancaires, des flux de trésorerie des entreprises... et plein d'autres infos croustillantes !
Ce n'est qu'une question de temps. :fumer:
Pour le coup si Bercy ne communique pas ça sera joli.

anagrys

Dis-toi que ça aurait pu être pire, ça aurait pu être Bercy. Là, pour le coup, il y a l'intégralité des informations bancaires, des flux de trésorerie des entreprises... et plein d'autres infos croustillantes !
Principe des failles et fuites de données: tu ne sais pas qui a été piraté.
Là ils l'ont vu (et assez tard, vu la durée).
Mais pleins d'autres ont été piratés et n'ont rien vu/dit (j'ai un GROS doute sur une banque dernièrement: ils ont invalidé mon mot de passe - à la connexion ils m'ont renvoyé une procédure par la poste - en attendant, j'ai reçu du phishing SYNCHRONISE avec cette demande de connexion, sachant que je vais sur le site moins d'une fois par an).
Et à côté de ça, on va condamner Mme Michu pour défaut de sécurisation de la connexion wi-fi et le DL de quelques musiques.
Qu'ils commencent par avoir une vraie sécurité dans leurs ministères ou leurs administrations avant de taper sur les petites gens pour des broutilles.
Un truc à savoir avant de taper sur les fonctionnaires : tout le SI central de chaque ministère est géré par des contractuels privés (le support local est encore géré par des fonctionnaires sous-payés). Même le MIOM fait gérer ses différents AD par des intervenants externes.

L'état n'ai pour ainsi dire quasiment aucune compétence en interne.

Gilbert_Gosseyn

Un truc à savoir avant de taper sur les fonctionnaires : tout le SI central de chaque ministère est géré par des contractuels privés (le support local est encore géré par des fonctionnaires sous-payés). Même le MIOM fait gérer ses différents AD par des intervenants externes.

L'état n'ai pour ainsi dire quasiment aucune compétence en interne.
La question n'est pas de taper sur les fonctionnaires, mais sur les décideurs qui apparemment ont choisi des prestataires en mousse... La faute peut-être à la diminution des budget qui font qu'on va au moins disant financier...

Cyber-n-Ethique

La question n'est pas de taper sur les fonctionnaires, mais sur les décideurs qui apparemment ont choisi des prestataires en mousse... La faute peut-être à la diminution des budget qui font qu'on va au moins disant financier...
Ce n'est pas si facile d'être un prestataire pour l'Etat. Il y a nombre de règles à respecter, et des contraintes à accepter en plus des difficultés liées au fait que l'AMOA étatique est de plus en plus faible.
Et de l'autre coté, les privés se gavent bien comme il faut, en rendant un travail en deçà des attentes.

Rajoute à cela que dans le monde de la sécurité informatique, les profils compétents sont disputés sur le marché du travail. Même si les salaires sont parfois intéressants dans le secteur public, aujourd'hui il est tout de même complexe de rivaliser avec les packages privés. Pas de mutuelle, pas d'avantages en nature type comité d'entreprise, pas d’intéressement/participation/... (logique), pas de voiture de fonction (je l'ai vu même dans des petites structures, ça!), télétravail qui peine à être accepté/mis en place, etc...

Gilbert_Gosseyn

Un truc à savoir avant de taper sur les fonctionnaires : tout le SI central de chaque ministère est géré par des contractuels privés (le support local est encore géré par des fonctionnaires sous-payés). Même le MIOM fait gérer ses différents AD par des intervenants externes.

L'état n'ai pour ainsi dire quasiment aucune compétence en interne.
C'est peut-être plus complexe. Selon l'administration et le poste, il peut être plus avantageux d'être en CDD que d'être fonctionnaire. Sans compter les problèmes de concours, nomination, ...
Pour les fonctionnaires sous-payés: ils sont sous-payés à paris, les ministères n'ont qu'à délocaliser en province où le salaire d'un fonctionnaire est plus acceptable.

Wosgien

C'est peut-être plus complexe. Selon l'administration et le poste, il peut être plus avantageux d'être en CDD que d'être fonctionnaire. Sans compter les problèmes de concours, nomination, ...
Pour les fonctionnaires sous-payés: ils sont sous-payés à paris, les ministères n'ont qu'à délocaliser en province où le salaire d'un fonctionnaire est plus acceptable.
Je te confirme, un contractuel en CDI surtout dans ces métiers en tension (donc pas besoin de monétiser la sécurité de l'emploi), c'est autrement plus intéressant financièrement que être titulaire.
Au vu des dates, on pourrait penser que ce soit lié à la migration vers le """""""nouveau""""""" site (pole-emploi.fr -> francetravail.fr )
...

Et à l'arrivée les usagers sont encore victimes et impuissants face à l'incompétence des services publics/prestas liés aux services publics...
Bon, je dois être encore dans la fuite de données 🤬🤬🤬🤬


:tchintchin: Me too.
Cette fois, je suis à peu près certain de ne pas y échapper.

Winderly

Cette fois, je suis à peu près certain de ne pas y échapper.
Pas mieux ...

Merci qui ?

Arcy

Pas mieux ...

Merci qui ?
Jacquie et Michel ?



Je ne connais pas encore tous les nouveau ministres....
:oops:

barlav

Jacquie et Michel ?



Je ne connais pas encore tous les nouveau ministres....
:oops:
En quelque sorte ... 🤣

Winderly

Cette fois, je suis à peu près certain de ne pas y échapper.
Idem.. bon bah demain je me trouve un bon gestionnaire de MDP et je fais le tour de tous les services qui utilisent mon adresse mail pro..
Pour mon adresse postale elle change bientôt mais pour nom prénom n° de sécu ça va être compliqué j'suis pas trop d'humeur a changer de genre 😅

Winderly

Cette fois, je suis à peu près certain de ne pas y échapper.
Même moi qui n'a jamais pointé là-bas, je pense être dedans parce que les employeurs envoient des données lorsque tu quittes une entreprise. info ici
Idem :-(
Pendant ce temps là à France Travail, un conseiller à une personne lambda:

"Le "cybersécurité" ? C'est quoi ? Vous voulez pas plutôt prendre cette offre raisonnable en usine à mi temps CDD deux semaines ?"
Celle-ci a d’ailleurs mis en ligne un formulaire simplifié permettant aux personnes concernées de déposer plainte.


Est-il conseillé de porter plainte ? C'est uniquement préventif, dans le cas où quelqu'un utiliserait nos données ? Ou bien il y a un réel intérêt immédiat ?
Je me suis posé la même question. Sur quoi pourrait bien déboucher une telle plainte ?
Modifié le 13/03/2024 à 20h34

Historique des modifications :

Posté le 13/03/2024 à 20h34


Je me suis posé la même question. Sur quoi pourrait bien déboucher une plainte ?

Il y a eu la même procédure pour le piratage de Viamedis et Almerys.

Cela ressemble surtout à un exutoire enregistrant les résultats dans /dev/null (où l'on retrouve aussi les doléances du grand débat et des agriculteurs).

Plus sérieusement, cela va encore être de belles paroles pour un résultat aussi convaincant que le grand débat.

Le principe du punchingball appliqué à l'administration. Manque plus que le N° Vert.
Ça va servir à occuper des gens payés à être occupé, ne vous en faites pas pour ça et continuer le train-train, comme disait un génie : "Ça va bien se passer"
Quoique je puisse parfois (souvent) partager le cynisme de mes cofilaires, j'ai porté plainte pour le piratage des prestataires de santé et j'ai fait de même pour celui-ci.

Je n'en attends absolument rien, mais je tiens à avoir une trace officielle en cas d'usurpation d'identité, qui est l'un des risques associé à cette fuite de données.

Pour connaître une personne passée au bord de la folie après avoir été victime d'une usurpation, je ne souhaite à personne de se retrouver dans cette situation !
Nom, prénom, numéro de Sécurité sociale, date de naissance, identifiant France Travail, adresses mail et postales et numéros de téléphone ont été exposés et se retrouvent donc dans la nature.

:bravo:
Oui, pour le moment, ils sont en tête du concours avec 43 millions de personnes potentiellement touchées. Il va être difficile de faire mieux en France (54 millions de personnes majeures).

J'ai du mal à voir quel fichier plus gros peut fuiter.

fred42

Oui, pour le moment, ils sont en tête du concours avec 43 millions de personnes potentiellement touchées. Il va être difficile de faire mieux en France (54 millions de personnes majeures).

J'ai du mal à voir quel fichier plus gros peut fuiter.
Les impôts ou sécu avec les enfants et ayant droits maybe 🤔

fred42

Oui, pour le moment, ils sont en tête du concours avec 43 millions de personnes potentiellement touchées. Il va être difficile de faire mieux en France (54 millions de personnes majeures).

J'ai du mal à voir quel fichier plus gros peut fuiter.
Le fichier CNI ou il y-a nos empreintes digitales (entre autre) ?
J'aimerais bien savoir quelle est la justification de garder accessible facilement les données personnelles des demandeurs d'emploi aussi longtemps (jusqu'à 20 ans !) C'est un décret du 1er juin 2016 qui donne cette durée maximum.

Par contre une durée de ce type n'est pas conforme au RGPD article 25 qui dispose que :
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.


Il faut adapter la durée à chaque traitement et à chaque donnée en minimisant les risques.

Que l'on conserve longtemps certaines données, je le conçois, par exemple pour vérifier les droits à le retraite et ces données là doivent même être conservées plus que 20 ans si nécessaire (jusqu'au départ à la retraite).
Mais moi qui ne suis plus demandeur d'emploi depuis septembre 2017 et retraité depuis plus d'un an, il n'y a aucune raison de garder mes données accessibles à tous. Que ça soit accessible en cas de besoin sur désarchivage, pourquoi pas, mais que ça reste en ligne est en contradiction forte avec le RGPD qui a été publié fin avril 2016.

J'attends la confirmation par mail que mes données sont potentiellement concernées avant de leur demander des comptes puis de porter plainte à la CNIL pour non respect de cet article du RGPD.

En regardant à quoi correspond Cap Emploi (pour les personnes en situation de handicap), si l'information du Figaro est bonne et que la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite. Ils n'ont aucune raison d'accéder aux données des autres demandeurs d'emploi. C'est une autre violation probable du RGPD.
je ne suis pas retraité, mais j'ai été demandeur d'emploi entre 2005 et 2006. Du coup, je suis potentiellement dedans aussi. Par contre, si quelqu'un me contacte en se prévalant de mon numéro ANPE, ça va être rigolo !
si l'information du Figaro est bonne et que la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite


Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent individuellement.

Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.
Modifié le 14/03/2024 à 05h22

Historique des modifications :

Posté le 14/03/2024 à 05h16


Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent.
Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.

Posté le 14/03/2024 à 05h18


si l'information du Figaro est bonne et que la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite


Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent.
Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.

Posté le 14/03/2024 à 05h18


si l'information du Figaro est bonne et que la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite


Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent.
Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.

wagaf

si l'information du Figaro est bonne et que la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite


Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent individuellement.

Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.
" Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. "

Sauf, que potentiellement tous professionnels de santé peut-être amené à soigner quelqu'un.

Alors que pour pôle-emplois une archivage externalisé des données anciennes pourrait-être pertinent (avec accessibilité sur requête).
Merci pour cette remarque. Travaillant dans les SI, on est en permanence challengé par la CNIL pour la durée de conservation des données. Là ils ont pu conserver pendant 20 ans (c'est énorme) des données aussi critiques que Nom/prénom et numéro de SS. ça me tue franchement.
Ne faut-il pas conserver ces données pour les reconstitutions de carrière ? Il me semble qu'on a besoin des périodes de chômage indemnisées pour la retraite.

jbfaure

Ne faut-il pas conserver ces données pour les reconstitutions de carrière ? Il me semble qu'on a besoin des périodes de chômage indemnisées pour la retraite.
J'ai cité explicitement ces données comme devant être gardée jusqu'à la retraite donc plus de 20 ans potentiellement. Ce n'est pas pour autant qu'elles doivent être accessibles à trop de monde à tout moment.

fred42

J'ai cité explicitement ces données comme devant être gardée jusqu'à la retraite donc plus de 20 ans potentiellement. Ce n'est pas pour autant qu'elles doivent être accessibles à trop de monde à tout moment.
Du coup, on revient sur la durée de 20 ans, fixée ici : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625875/2016-06-04 pour les finalités décrite ici https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625868 et https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625813/2016-06-04

Ça ne rime à rien :
Pour une utilisation de type connexion à un portail, c'est trop long.
Pour une utilisation type retraite, c'est trop court.
Et pour les utilisations type stats et pilotage, l'anonymisation existe.

On dirait un truc fixé au doigt mouillé.

Même conserver des coordonnées vieilles de 20 ans ça ne rime à rien.
Je suis sur que l'on y trouve encore des adresses en caramail.fr
Modifié le 14/03/2024 à 16h04

Historique des modifications :

Posté le 14/03/2024 à 16h03


Du coup, on revient sur la durée de 20 ans, fixée ici : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625875/2016-06-04 pour les finalités décrite ici https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625868 et https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625813/2016-06-04

Ça ne rime à rien :
Pour une utilisation de type connexion à un portail, c'est trop long.
Pour une utilisation type retraite, c'est trop court.

On dirait un truc fixé au doigt mouillé.

Même conserver des coordonnées vieilles de 20 ans ça ne rime à rien.
Je suis sur que l'on y trouve encore des adresses en caramail.fr

ZeMeilleur

Du coup, on revient sur la durée de 20 ans, fixée ici : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625875/2016-06-04 pour les finalités décrite ici https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625868 et https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625813/2016-06-04

Ça ne rime à rien :
Pour une utilisation de type connexion à un portail, c'est trop long.
Pour une utilisation type retraite, c'est trop court.
Et pour les utilisations type stats et pilotage, l'anonymisation existe.

On dirait un truc fixé au doigt mouillé.

Même conserver des coordonnées vieilles de 20 ans ça ne rime à rien.
Je suis sur que l'on y trouve encore des adresses en caramail.fr
Ben perso, j'ai été inscrit à l'ANPE y a une vingtaine d'années (je ne sais plus exactement quand, ça pourrait être juste un peu plus vieux). or à l'époque j'avais une adresse yahoo.fr qui n'existe plus.

Si je suis concerné, je suis très curieux de savoir comment Ils vont me prévenir.

Effectivement, ça ne rime à rien.
Mais est-ce que ça surprend quelqu'un?
Par contre une durée de ce type n'est pas conforme au RGPD article 25 qui dispose que :


C'est plus compliqué que ça. Le RGPD ne vient pas remplacer la réglementation, elle vient en plus de la réglementation. Le RGPD impose juste de définir une durée de conservation (ou au moins le moyen de la déterminer) qui soit en corrélation à la réalisation du traitement, avec des exceptions pour à des fins archivistiques dans l'intérêt publique, la recherche publique, etc.

Si une durée est fixée par la réglementation, le responsable de traitement se doit de respecter cette durée (et la CNIL le rappelle sur son site), qu'importe si la durée semble disproportionnée.

Ici, la durée est fixée par le législateur. Le problème est donc au niveau du législateur, pas au niveau du responsable de traitement.

fdorin

Par contre une durée de ce type n'est pas conforme au RGPD article 25 qui dispose que :


C'est plus compliqué que ça. Le RGPD ne vient pas remplacer la réglementation, elle vient en plus de la réglementation. Le RGPD impose juste de définir une durée de conservation (ou au moins le moyen de la déterminer) qui soit en corrélation à la réalisation du traitement, avec des exceptions pour à des fins archivistiques dans l'intérêt publique, la recherche publique, etc.

Si une durée est fixée par la réglementation, le responsable de traitement se doit de respecter cette durée (et la CNIL le rappelle sur son site), qu'importe si la durée semble disproportionnée.

Ici, la durée est fixée par le législateur. Le problème est donc au niveau du législateur, pas au niveau du responsable de traitement.

Le législateur l'exécutif (c'est un décret) a décidé d'une durée maximum de conservation. Il a mis une borne supérieure. Je maintiens qu'il y a possibilité de diminuer la durée de conservation en fonction du besoin réel. Encore faut-il se poser la question ce qui n'a pas dû être fait : le décret est paru un peu plus d'un mois après la publication du RGPD et personne n'a probablement pensé une fois le RGPD maîtrisé à vérifier que les traitements et les durées de rétention étaient minimisés.
Modifié le 15/03/2024 à 00h56

Historique des modifications :

Posté le 15/03/2024 à 00h47


Le législateur l'exécutif (c'est un décret) a décidé d'une durée maximum de conservation. Il amis une borne supérieure. Je maintiens qu'il y a possibilité de diminuer la durée de conservation en fonction du besoin réel. Encore faut-il se poser la question ce qui n'a pas dû être fait : le décret est paru un peu plus d'un mois après la publication du RGPD et personne n'a probablement pensé une fois le RGPD maîtrisé à vérifier que les traitements et les durées de rétention étaient minimisés.

fred42

Le législateur l'exécutif (c'est un décret) a décidé d'une durée maximum de conservation. Il a mis une borne supérieure. Je maintiens qu'il y a possibilité de diminuer la durée de conservation en fonction du besoin réel. Encore faut-il se poser la question ce qui n'a pas dû être fait : le décret est paru un peu plus d'un mois après la publication du RGPD et personne n'a probablement pensé une fois le RGPD maîtrisé à vérifier que les traitements et les durées de rétention étaient minimisés.
Pardon, je n'étais pas allé voir le décret. C'est bien une durée maximum qui est précisée.

Autant je suis d'accord avec ton interprétation sur le fait que la question de la durée de la conservation aurait du se poser. Toutefois, je ne suis pas certains pour autant que cela soit opposable dans le cadre d'une procédure de sanction, la réglementation définissant explicitement une durée (même si elle n'est que maximum) car derrière un pas plus de 20 ans, se cache implicitement une "autorisation" de les conserver jusqu'à 20 ans...

Et après, il ne faut pas se leurrer non plus. Même en cas de sanction de la CNIL, cela reste un établissement public. Donc une sanction pécuniaire prononcé par la CNIL... revient à l'Etat !

fdorin

Pardon, je n'étais pas allé voir le décret. C'est bien une durée maximum qui est précisée.

Autant je suis d'accord avec ton interprétation sur le fait que la question de la durée de la conservation aurait du se poser. Toutefois, je ne suis pas certains pour autant que cela soit opposable dans le cadre d'une procédure de sanction, la réglementation définissant explicitement une durée (même si elle n'est que maximum) car derrière un pas plus de 20 ans, se cache implicitement une "autorisation" de les conserver jusqu'à 20 ans...

Et après, il ne faut pas se leurrer non plus. Même en cas de sanction de la CNIL, cela reste un établissement public. Donc une sanction pécuniaire prononcé par la CNIL... revient à l'Etat !
Concernant la durée de 20 ans, elle répond à plusieurs finalités. France Travail en a évoqué une, à savoir la reconstitution de carrière.

Il en existe une autre, par ailleurs érigée au rang d'objectif de valeur constitutionnelle (cf. décision n°2019-789-DC, cons. 7), à savoir la lutte contre la fraude.

Pour laquelle le délai pour engager une action est de 10 ans. (article L.5422-5 du code du travail)

Avec possibilité de remonter sur les 20 dernières années, en application de l'article 2232 du code civil

Illustration ici dans un domaine proche, celui des prestations vieillesse / invalidité, qui a donné lieu à un arrêt de la Cour de Cassation l'année dernière.

En clair autant on peut questionner les modalités de conservation, autant partir bille en tête sur une durée excessive de conservation s'agissant ici d'une finalité érigée en objectif de valeur constitutionnelle, c'est moins évident.

fdorin

Pardon, je n'étais pas allé voir le décret. C'est bien une durée maximum qui est précisée.

Autant je suis d'accord avec ton interprétation sur le fait que la question de la durée de la conservation aurait du se poser. Toutefois, je ne suis pas certains pour autant que cela soit opposable dans le cadre d'une procédure de sanction, la réglementation définissant explicitement une durée (même si elle n'est que maximum) car derrière un pas plus de 20 ans, se cache implicitement une "autorisation" de les conserver jusqu'à 20 ans...

Et après, il ne faut pas se leurrer non plus. Même en cas de sanction de la CNIL, cela reste un établissement public. Donc une sanction pécuniaire prononcé par la CNIL... revient à l'Etat !
Une sanction de la CNIL rappellerait opportunément leurs responsabilités de sécurité et de minimisation des accès aux données personnelles à tous les organismes qui ne se posent pas la question. De plus, une amende (qui doit être possible parce que ce n'est pas un traitement mis en œuvre par l'État ) diminuerait d'autant le budget de France Travail qui a une autonomie financière.

Et cela n'empêche pas de porter plainte devant les tribunaux pour mettre France Travail face à ses responsabilités vis-à-vis des demandeurs d'emploi. Il doit être possible de demander des dommages et intérêts en prouvant le dommage.

Sur la durée, le RGPD étant plus important dans la hiérarchie des normes qu'un décret parce qu'il est un texte résultant d'un traité, il n'y a aucune raison de considérer un maximum prévu dans le décret comme une durée qui permettrait de ne pas respecter le RGPD qui dit explicitement qu'il faut minimiser la durée de conservation choisie doit être nécessaire au traitement.
Et, il n'y a pas que la durée comme problème ici, il y a a priori le fait que l'accès aux données était trop large (la fuite semblant être causée par un compte de Cap Emploi). Le RGPD est aussi explicite là-dessus.

fred42

Une sanction de la CNIL rappellerait opportunément leurs responsabilités de sécurité et de minimisation des accès aux données personnelles à tous les organismes qui ne se posent pas la question. De plus, une amende (qui doit être possible parce que ce n'est pas un traitement mis en œuvre par l'État ) diminuerait d'autant le budget de France Travail qui a une autonomie financière.

Et cela n'empêche pas de porter plainte devant les tribunaux pour mettre France Travail face à ses responsabilités vis-à-vis des demandeurs d'emploi. Il doit être possible de demander des dommages et intérêts en prouvant le dommage.

Sur la durée, le RGPD étant plus important dans la hiérarchie des normes qu'un décret parce qu'il est un texte résultant d'un traité, il n'y a aucune raison de considérer un maximum prévu dans le décret comme une durée qui permettrait de ne pas respecter le RGPD qui dit explicitement qu'il faut minimiser la durée de conservation choisie doit être nécessaire au traitement.
Et, il n'y a pas que la durée comme problème ici, il y a a priori le fait que l'accès aux données était trop large (la fuite semblant être causée par un compte de Cap Emploi). Le RGPD est aussi explicite là-dessus.
Plutôt d'accord dans l'ensemble avec ce que tu dis. Sauf ce passage
Sur la durée, le RGPD étant plus important dans la hiérarchie des normes qu'un décret parce qu'il est un texte résultant d'un traité, il n'y a aucune raison de considérer un maximum prévu dans le décret comme une durée qui permettrait de ne pas respecter le RGPD qui dit explicitement qu'il faut minimiser la durée de conservation choisie doit être nécessaire au traitement.


Alors oui, on est d'accord que le RGPD est plus important dans la hiérarchie des normes. Maintenant, le RGPD ne dit pas qu'il faut minimiser la durée de conservation. Le RGPD impose d'en définir une (soit directement, soit en pouvant la calculer) et ne va pas plus loin. Le reste, ce sont des dispositions réglementaires, légales, les délibérations de la CNIL, etc. qui permettent de donner une durée (mais pas le RGPD).

En l'absence de toute référence, c'est au RT de définir la durée de conservation. Mais si le RGPD n'impose pas de durée, il ne faut pas qu'elle soit disproportionnée vis-à-vis du traitement. Ce qui est hautement subjectif et largement soumis à interprétation. Et quand on a un texte (comme ici) donnant une limite maximum (20 ans), il me parait difficile de dire avec une certitude absolue que c'est disproportionnée, puisqu'un cadre réglementaire donne une échelle de temps.

Quant au caractère "supérieur" du RGPD, c'est toujours compliqué. Il suffit de regarder l'exemple de la conservation des logs de connexion. L'Europe et la France n'ont pas du tout la même interprétation, mettant dans une position largement inconfortable les entreprises qui pourront, quoi qu'elles fassent, se faire attaquer soit devant la justice française, soit la justice européenne (avec les frais et l'énergie que cela demande, bien évidement).

Et si le RGPD imposait vraiment la minimisation de la durée de conservation, alors je pourrais dès aujourd'hui supprimer toutes les données relatives à mes ex-employés (je n'ai plus de traitement en cours avec eux, le solde de tout compte étant fait depuis belle lurette). Pourtant, si je le fais, je risque de me prendre une amende plutôt salée.

Par contre, sur l'accessibilité des données, oui, il semblerait dans le cas présent qu'elle soit beaucoup trop large (si les données ont bien été récupérées via Cap Emploi). Et là, oui, tu as raison de le souligner, le RGPD est explicite.
Et ils expliquent la root cause du leak? Je sais bien que la transparence n'est pas une valeur française, mais dans la mesure où c'est un service public qui utilise des fonds publics, le public a le droit de savoir, surtout ceux qui risquent l'usurpation d'identité.

Qu'est ce qui a merdé? l'infra? le logiciel? la configuration? le suivi des mises à jour sécurité? ...
Il y a la piste d'un mode débug laissé activé sur le site de production (!), et l'utilisation d'un framework pas mis à jour depuis 2016 (!!) https://twitter.com/bluetouff/status/1762087262873858522

inpactcarglass

Il y a la piste d'un mode débug laissé activé sur le site de production (!), et l'utilisation d'un framework pas mis à jour depuis 2016 (!!) https://twitter.com/bluetouff/status/1762087262873858522
Oui bien sûr, mais l'idée ici est que France Travail ait des comptes à rendre au public... Il serait temps de pousser la transparence parce que quand France Famille et France Patrie se feront aussi hacker, ça sera peut-être encore pire.

inpactcarglass

Il y a la piste d'un mode débug laissé activé sur le site de production (!), et l'utilisation d'un framework pas mis à jour depuis 2016 (!!) https://twitter.com/bluetouff/status/1762087262873858522
Je confirme les events qui empêchent le c/c sur mdp comment dire...

inpactcarglass

Il y a la piste d'un mode débug laissé activé sur le site de production (!), et l'utilisation d'un framework pas mis à jour depuis 2016 (!!) https://twitter.com/bluetouff/status/1762087262873858522
Je comprendrais jamais ce besoin de venir montrer en place publique ce genre de choses. Après y'a certainement aucun moyen d'aller déclarer ce genre de soucis facilement aussi, et d'être pris au sérieux.

Il devrait y avoir un moyen "universel" de venir déclarer des soucis/trou de sécurité trouvé pour les sites web autre qu'écrire au webmestre :francais:

Mais j'ai un doute sur le but de la manœuvre.
Modifié le 14/03/2024 à 05h29

Historique des modifications :

Posté le 14/03/2024 à 05h28


Je comprendrais jamais ce besoin de venir montrer en place publique ce genre de choses. Après y'a certainement aucun moyen d'aller déclarer ce genre de soucis facilement aussi, et d'être pris au sérieux.

Il devrait y avoir un moyen "universel" de venir déclarer des soucis/trou de sécurité trouvé pour les sites web autre qu'écrire au webmestre :francais:

Mais j'ai un doute sur le but de la manœuvre.

FraGG

Je comprendrais jamais ce besoin de venir montrer en place publique ce genre de choses. Après y'a certainement aucun moyen d'aller déclarer ce genre de soucis facilement aussi, et d'être pris au sérieux.

Il devrait y avoir un moyen "universel" de venir déclarer des soucis/trou de sécurité trouvé pour les sites web autre qu'écrire au webmestre :francais:

Mais j'ai un doute sur le but de la manœuvre.
La personne en question, bluetouff, a montré une capture d'écran où ses messages d'alerte concernant de précédentes failles de Pôle emploi sont restées sans réponses.

inpactcarglass

La personne en question, bluetouff, a montré une capture d'écran où ses messages d'alerte concernant de précédentes failles de Pôle emploi sont restées sans réponses.
Je vois bien, mais encore une fois le faire en "place publique" pourquoi ? Et surtout es-ce-que vraiment Twitter est le meilleur moyen pour déclarer ce genre de choses ?

Le CM est-il assez concerné et capable de prendre au sérieux cette capture ? D'y comprendre quelque chose ?

Si le but est réellement de prévenir et d'aider? Personnellement j'en doute.
Si le but est de se faire mousser et de faire le spectacle ? Je me pose la question.
Je n'ai pas reçu de mail pour m'avertir que je suis une victime potentielle, heureusement que next est là pour faire le travail. :pciwin:

Ah faudrait peut être mettre à jour ce smilie.
Pareillement! Enfin je crois : la plupart de leurs mails vont direct à la poubelle faudrait que je vérifie mes règles de filtre ^^"
Vivement l'avènement du DMP, le dossier médical partagé et autres joyeusetés du Big data de ces prochaines années. On se sent en confiance 👏
inscrites au cours des 20 dernières années

Ils n'ont jamais entendu parler du RGPD ?
Mais oui, elle est hallucinante cette durée de conservation au regard de la loi et de la criticité des données conservées.
Modifié le 14/03/2024 à 13h25

Historique des modifications :

Posté le 14/03/2024 à 13h24


Mais oui, elle est hallucinante cette durée de conservation au regard de la loi.

Aux responsables, si ils existent car je soupçonne E.T ou Majax, n'hésitez pas à venir grossir les rangs de france travail !
Des bisous :smack:
C’est la croix et la bannière dès que tu as fait une erreur sur ton profil, avec un parcours utilisateur dont on peut penser qu’il est fait pour bien faire comprendre aux gens qu’être chômeur, c’est mal, mais alors laisser fuiter toute la DB, aucun souci. Belle réussite de notre France Digitale, chapeau 👍
Je VEUX qu’il y ait des répercussions et dédommagements, pas le simple « oups déso ! » habituel.
Le dédommagement sera payé par tes impôts, donc quel est l’intérêt?
Ne sommes-nous pas moins de 70 millions en France, incluant les enfants ?
43 millions de comptes, en partant du postulat qu'une personne ne dispose que d'un seul compte, n'est-ce pas juste la quasi-intégralité des personnes en âge d'y avoir un compte ?
J'ai parlé plus haut de 53 millions de personnes majeurs en France. Si tu ajoute 20 ans à l'âge de départ à la retraite, tu tombes à 82/83 ans actuellement. Ça diminue le nombre de personnes d'environ 4 millions.

Ne pas oublier non plus que les fonctionnaires ne sont que par exception au chômage et donc à Pôle Emploi/France travail. On peut donc enlever 5,6 millions environ.

53-4-5,6 =43,4 :bravo: c'est quasiment un strike !